NIS2: Nicht nur wesentliche und wichtige Firmen bereiten sich auf…

NIS2: Nicht nur wesentliche und wichtige Firmen bereiten sich auf NISG 2025 vor

NIS2-Diskussion in Brüssel wie es die KI sieht

Trotz Gesetz 2025: Österreichs Firmen müssen jetzt handeln

Österreichische Unternehmen stehen vor einer neuen Cybersicherheits-Herausforderung: Die Umsetzung der NIS2-Richtlinie der EU, die bis spätestens 17. Oktober 2024 erfolgen muss. Obwohl das österreichische Netz- und Informationssicherheitsgesetz (NISG 2024) im Nationalrat vorerst gescheitert ist, bleibt die Verpflichtung zur Umsetzung bestehen. In Deutschland hingegen hat das Bundeskabinett bereits am 24. Juli 2024 das NIS2-Umsetzungsgesetz beschlossen, das weitreichende Folgen auch für österreichische Unternehmen in Konzernstrukturen oder Lieferketten hat.

Besonders Firmen, die Produkte oder Dienstleistungen an deutsche NIS2-Einrichtungen liefern, müssen sicherstellen, dass ihre Sicherheitsstandards den neuen Anforderungen entsprechen. Die NIS2-Richtlinie erfordert nämlich eine lückenlose Sicherstellung der Cybersicherheit entlang der gesamten Lieferkette.

Risikomanagement: Wer jetzt nicht aufpasst, zahlt drauf!

Die NIS2-Richtlinie erfordert von Unternehmen, umfassende Risikomanagementmaßnahmen zu implementieren. Dazu gehören das Einrichten eines Risikomanagement-Frameworks, die Schulung von Mitarbeitern bis zum Top-Management(!) in Cyberhygiene, und die Einführung strenger technischer Sicherheitsmaßnahmen. Besonders in der Lieferkette spielt die Sicherheit eine zentrale Rolle.

Unternehmen müssen sicherstellen, dass alle Lieferanten den hohen Anforderungen der NIS2 gerecht werden, um Sicherheitslücken zu vermeiden. Firmen müssen sich zudem auf verschärfte Meldepflichten einstellen, bei denen Cybersicherheitsvorfälle innerhalb von 24 Stunden gemeldet werden müssen. Diese Anforderungen, die auch im Entwurf des österreichischen NISG 2024 verankert sind, werden verbindlich, sobald das Gesetz in Kraft tritt. Firmen sollten jetzt handeln, um Verzögerungen zu vermeiden, da die neuen Vorschriften nun voraussichtlich im Frühjahr 2025 in Kraft treten werden.

Wer hat was zu tun? Wesentliche und wichtige Firmen im Fokus

Laut Experten mit denen wir im ständigen Austausch stehen und uns für unsere Kund:innen weiterbilden und (re)zertifizieren lassen, sollten Österreichs Firmen ihre Cybersicherheitspraktiken verbessern. Bei der Umsetzung der NIS2-RL sollten Unternehmen insbesondere die folgenden drei Themen berücksichtigen, die wir hier anhand der Artikel in der NIS2-Richtlinie der EU zusammengestellt haben:

(1) Erweiterter Anwendungsbereich und Identifizierung kritischer Dienste

  • Artikel 2 – Anwendungsbereich: Dieser Artikel legt fest, dass die Richtlinie für eine Vielzahl von Sektoren gilt, darunter Energie, Verkehr, Gesundheit, Finanzmärkte und mehr. Die Definition von „wesentlichen“ und „wichtigen“ Einrichtungen wird detailliert beschrieben, wobei auch der Umfang der Unternehmen, die unter die Richtlinie fallen, erweitert wurde.
  • Anhang I und II – Sektoren und Dienste: Diese Anhänge spezifizieren die Sektoren und Arten von Dienstleistungen, die als wesentlich oder wichtig betrachtet werden und somit unter die Richtlinie fallen.

Link: NIS2-Richtlinie (Anwendungsbereich)

(2) Verstärkte Meldepflichten und Incident-Management

  • Artikel 20 – Sicherheitsvorfälle: Dieser Artikel beschreibt die Anforderungen an die Meldung von Sicherheitsvorfällen, einschließlich der Meldefristen (z. B. erste Meldung innerhalb von 24 Stunden nach Feststellung eines Vorfalls) und der erforderlichen Inhalte der Meldung.
  • Artikel 23 – Behandlung von Sicherheitsvorfällen: Unternehmen sind verpflichtet, Systeme und Prozesse zu etablieren, um Sicherheitsvorfälle effektiv zu erkennen, zu analysieren und darauf zu reagieren.

Link: NIS2-Richtlinie (Sicherheitsvorfälle und Meldepflichten)

(3) Erhöhte Anforderungen an Governance und Risikomanagement

  • Artikel 21 – Cybersicherheitsrisikomanagement und Berichterstattungspflichten: Hier werden die Anforderungen an Unternehmen hinsichtlich der Implementierung eines Cybersicherheits-Risikomanagements beschrieben. Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um ihre Netz- und Informationssysteme abzusichern.
  • Artikel 24 – Aufsicht und Durchsetzung: Dieser Artikel beschreibt die Verantwortlichkeiten der Aufsichtsbehörden sowie die Konsequenzen bei Nichteinhaltung der Richtlinie, einschließlich möglicher Sanktionen.

Link: NIS2-Richtlinie (Risikomanagement und Governance)

Wir haben eine Matrix ausgearbeitet, die rasche Orientierung geben soll, da die Einschätzung der Betroffenheit anfangs recht schwierig ist zu überblicken:

NIS2-Betroffenheits-Matrix vom Stand Juli 2024
NIS2-Betroffenheits-Matrix vom Stand Juli 2024

Hier können sie das Infoblatt zur NIS2-Betroffenheits-Matrix herunterladen.

Jetzt Förderungen sichern und auf Nummer sicher gehen!

Die Zeit drängt, aber es gibt Unterstützung: Zertifizierte Berater helfen Unternehmen, die neuen NIS2-Vorgaben zu erfüllen. Nutzen Sie die derzeitigen Fördermöglichkeiten, wie den KMU.DIGITAL Security-Check oder die Cybersecurity-Schecks der FFG, um finanzielle Unterstützung für die Implementierung von Sicherheitsmaßnahmen zu erhalten.

Besonders wertvoll ist das NIS2-Schema der Wirtschaftskammer Österreich (WKÖ), das Unternehmen hilft, ihre Betroffenheit zu prüfen und die erforderlichen Schritte zu planen. Vor allem in der Absicherung der Lieferkette bietet das NIS2-Schema klare Anleitungen, wie Unternehmen sicherstellen können, dass alle Glieder der Kette konform sind. Wer frühzeitig investiert, schützt nicht nur sein Unternehmen, sondern vermeidet auch hohe Bußgelder und nutzt staatliche Förderungen optimal aus.

Bei Fragen zu Förderungen, Betroffenheit oder eine Statusanalyse stehen wir gerne zu Verfügung.

30.07.2024: von Dietmar Csitkovics in Agiler Datenschutz, Datenschutz & IT-Security als laufender Prozess im Team statt teurer Audits und mit Technik am Ziel vorbei